Quels sont les rôles de l’APD et de la CNIL ?

Mai 12, 2022
5/5 - (20 votes)
Rôle

L’Autorité de Protection des Données (APD) en Belgique et la Commission Nationale de l’informatique et des libertés (CNIL) en France sont des autorités de contrôle indépendantes. Elle sont chargées de veiller au respect de la protection des données. C’est en tant qu’actrices clés de la protection des données à caractère personnel qu’elles sont dotées de différentes missions :

Une mission d’information, de conseil et de sensibilisation

Une des missions dévolues à ces autorités de protection des données est une mission de renseignement et de sensibilisation du public. Celles-ci mettent à disposition toute une série d’outils, de référentiels, de recommandations, de formulaires (de notification d’incident ou de désignation de DPO), de modèles, de lignes directrices, de logiciels, permettant d’informer les responsables de traitement et les sous-traitants de leurs obligations et les personnes concernées de leurs droits. Cette information se fait par le biais notamment de leur site internet ou via leur présence à des salons, des colloques, des webinars ou des conférences.

A côté de cette mission d’information transversale sur la protection des données, les autorités de protection des données ont également une compétence d’avis et de conseil. Sur demande ou d’initiative, elles rendent des avis qui peuvent :

  • Porter sur un texte législatif ou réglementaire en matière de protection des données
  • Être un avis plus général demandé à titre privé/professionnel/académique. Il peut par exemple porter sur un traitement déterminé ou sur l’application du RGPD et ses conséquences pratiques
  • Être un avis dans le cadre d’une analyse d’impact à la suite d’une consultation préalable du responsable de traitement , en vertu de l’article 36 du RGPD

Une mission d’anticipation et d’innovation

Les évolutions technologiques, sociétales et économiques, obligent les autorités de protection des données à suivre ces évolutions, qui pourraient avoir un impact sur la protection des données. Cette analyse permet qu’elles rédigent des recommandations et qu’elles rendent publique leur réflexion sur les risques et conséquences de tels changements. Nous parlons par exemple des traitements dans le cadre du télétravail ou dans le contexte du Covid -19, de l’apparition d’une nouvelle technologie…

Une mission d’approbation

L’APD et la CNIL encouragent la mise en place de codes de conduite et de mécanismes de certification. Elles approuvent également ces codes de conduite et les critères de certification et d’agrément d’organismes de contrôle.

Les autorités vont pouvoir approuver d’autres outils comme par exemple des règles d’entreprises contraignantes ou des clauses contractuelles.

Une mission de contrôle et de sanction

La protection des droits et des libertés des personnes concernées devant être garantie dans la pratique et ne pas être purement théorique, les autorités de protection des données ont également une mission de contrôle et de sanction. Les personnes concernées peuvent introduire une plainte auprès d’elles. Ces réclamations seront traitées et examinées par ces autorités.

L’APD et la CNIL peuvent contrôler a posteriori, d’initiative ou après l’introduction d’une plainte d’une personne concernée, la mise en œuvre concrète du RGPD et des autres textes en matière de protection des données, par les entreprises et les autorités publiques.

Afin de s’assurer du respect de ces textes, elles disposent de pouvoirs d’enquête. Elles peuvent notamment demander des renseignements ou des documents ; demander l’accès aux locaux, aux installations et moyens de traitement ; procéder à des audits et examiner des certifications délivrées.

En cas de manquements constatés, ces autorités disposent d’un arsenal de sanctions. Nous citons par exemple le pouvoir de :

  • Prononcer un avertissement du fait que le traitement envisagé est illégal
  • Rappeler à l’ordre le responsable de traitement
  • Suspendre ou limiter temporairement ou définitivement (voire interdire) le traitement de données à caractère personnel
  • Ordonner de satisfaire des demandes d’exercice des droits des personnes concernées
  • Ordonner de mettre en conformité le traitement d’une manière spécifique, avec un délai déterminé
  • Ordonner de rectifier ou effacer des données
  • Ordonner la suspension du transfert vers un pays tiers ou une organisation internationale
  • Prononcer des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel